Privacy-update: data-doorgifte met de VS weer mogelijk

Het heeft even geduurd, maar de Europese Commissie heeft een adequaatheidsbesluit genomen voor het EU-VS Data Privacy Framework waardoor persoonsgegevens veilig kunnen worden overgedragen van de EU naar de VS. Dit besluit zorgt voor juridische zekerheid voor bedrijven, terwijl de privacy van klanten wordt gewaarborgd. Belangrijk voor veel online retailers die gebruikmaken van diensten als Google of Facebook.

De aanpassingen

In 2020 werd het vorige Privacy Shield ongeldig verklaard door het Europese Hof van Justitie in de zaak Schrems II. Dit Privacy Shield was ongeldig verklaard omdat de VS niet de bescherming van persoonsgegevens kan bieden die de AVG vereist. Pas in oktober 2022 werden er nieuwe afspraken gemaakt tussen Europa en de VS. De Europese Commissie heeft nu de afweging gemaakt en het Nieuwe Data Privacy Framework aangenomen.

Het grootste verschil is dat de Europese Commissie via dit nieuwe adequaatheidsbesluit, oordeelt dat de VS dezelfde privacy-waarborgen biedt als in Europe (oftewel de AVG). Amerikaanse bedrijven kunnen toetreden tot het EU-VS Data Privacy Framework door zich te verbinden aan een gedetailleerde reeks privacy-verplichtingen, zoals de verplichting om persoonsgegevens te verwijderen wanneer deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld, en om de continuïteit van bescherming te waarborgen wanneer persoonsgegevens worden gedeeld met derden. Als een Amerikaans bedrijf is aangesloten bij het Data Privacy Framework mag je ervan uitgaan dat gegevensdeling aan de juiste waarborgen voldoet. 

Schrems III?

Het blijft de vraag hoe lang het erkenningsbesluit van de Commissie en het DPF stand zal houden. Het Europese Parlement en de EDPD waren eerder al kritisch. Zij vragen zich onder andere af of de uitleg die het Amerikaanse rechtssysteem zal geven aan de beschermingsbepalingen van de Presidential Executive Order die de toegang van inlichtingen- en veiligheidsdiensten tot persoonsgegeven regelen, zal voldoen aan de Europese standaarden voor databescherming. Verder wordt het speciaal in het leven geroepen systeem voor klachten van Europese burgers bij het Data Protection Review Court over datacollectie door de inlichtingendiensten, als te beperkt ervaren. Zij vragen de Europese Commissie dan ook de effecten van het DPF nauwlettend te monitoren.

Schrems en zijn privacy stichting NOYB stellen eveneens dat het framework niet voldoet aan de minimumstandaarden van de AVG en dat zij het erkenningsbesluit en het DPF ter toetsing zullen voorleggen aan het Europese Hof. Kans dus dat het Hof de DPF te zijner tijd wederom diskwalificeert en het erkenningsbesluit onwettig verklaart. Zover is het echter nog niet en kunnen bedrijven die persoonsgegevens doorgeven aan de VS er gelukkig op vertrouwen dat dit is toegestaan omdat de EU ondubbelzinnig erkent dat de VS voldoen aan de Europese standaarden voor databescherming.

Wat betekent dit voor webshops?

Dit adequaatheidsbesluit zorgt voor meer juridische zekerheid omdat het webshops een duidelijk wettelijk kader biedt voor doorgifte van persoonsgegevens aan de VS. Dit vermindert de juridische onzekerheid die ontstond na het ongeldig verklaren van het vorige Privacy Shield Framework. Daarnaast draagt het bij aan het opbouwen van vertrouwen bij klanten.